CVE-2024-57726 : SimpleHelp RMM exploitée par DragonForce

Le 24 avril 2026, la CISA a inscrit deux failles critiques de la solution SimpleHelp RMM dans son catalogue Known Exploited Vulnerabilities. CVE-2024-57726 (CVSS 9.9) constitue une élévation de privilèges permettant à un technicien de bas niveau de devenir administrateur du serveur, tandis que CVE-2024-57728 décrit un upload de fichier arbitraire. Combinées à CVE-2024-57727 (path traversal multiple), elles forment une chaîne d'attaque dévastatrice contre les serveurs SimpleHelp non patchés. Découvertes par Horizon3 fin décembre 2024 et corrigées dans les versions 5.3.9, 5.4.10 et 5.5.8 publiées le 13 janvier 2025, ces vulnérabilités sont exploitées depuis lors par les groupes ransomware DragonForce et Medusa. La cible privilégiée : les Managed Service Providers, dont la compromission ouvre l'accès aux infrastructures de leurs nombreux clients par effet domino. La directive opérationnelle BOD 22-01 fixe l'échéance de remédiation au 15 mai 2026 pour les agences fédérales américaines.

Les faits

Les chercheurs de Horizon3 ont divulgué les trois CVE à SimpleHelp le 6 janvier 2025. L'éditeur a publié des correctifs en une semaine, mais l'adoption a été lente dans l'écosystème MSP. CVE-2024-57726 (CWE-862, missing authorization) permet à tout technicien disposant de credentials valides d'escalader vers un rôle d'administrateur de serveur. CVE-2024-57727 cumule plusieurs path traversal exploitables sans authentification. CVE-2024-57728 ajoute un upload de fichier arbitraire qui, combiné aux deux précédentes, livre une exécution de code à distance complète sous le contexte SYSTEM du serveur SimpleHelp.

Selon les analyses publiées par Arctic Wolf et Sophos, les premières exploitations massives ont été observées dès la mi-janvier 2025. Les groupes ransomware DragonForce et Medusa ont rapidement intégré la chaîne d'attaque dans leurs playbooks d'accès initial. L'ajout au KEV CISA le 24 avril 2026 reconnaît que des serveurs SimpleHelp non patchés continuent d'être compromis plus de quinze mois après la disponibilité des correctifs, témoignant d'un défaut de gouvernance dans la chaîne d'approvisionnement RMM.

Impact et exposition

SimpleHelp est un outil de support à distance largement adopté par les MSP, les éditeurs de logiciels et les équipes IT internes. Sa particularité : un agent persistant déployé sur les machines clientes, exécuté avec des privilèges élevés. Lorsqu'un serveur SimpleHelp est compromis, l'attaquant hérite immédiatement de la capacité d'exécuter des commandes sur l'ensemble du parc connecté. Les campagnes documentées montrent un schéma type : compromission du serveur RMM, déploiement d'outils de découverte (rclone, restic), désactivation des protections endpoint, exfiltration des données puis chiffrement final.

Le scénario MSP est particulièrement préoccupant. Un seul serveur SimpleHelp non patché peut servir de point de pivot vers des dizaines, voire des centaines d'entreprises clientes. Le rapport Sophos Active Adversary cite plusieurs intrusions traçables à des serveurs SimpleHelp compromis exécutant des versions inférieures à 5.3.9, avec des chiffrements DragonForce déployés en moins de soixante-douze heures après l'accès initial. Les organisations opérant un serveur SimpleHelp doivent considérer toute version antérieure aux correctifs comme un risque existentiel.

Recommandations immédiates

• Mettre à jour SimpleHelp vers les versions corrigées 5.3.9, 5.4.10 ou 5.5.8 — advisory officiel SimpleHelp Security Bulletin du 13 janvier 2025
• Restreindre l'accès au panneau d'administration SimpleHelp à un VPN ou à une plage IP de gestion, ne jamais l'exposer publiquement
• Auditer les comptes techniciens pour détecter d'éventuelles élévations vers le rôle administrateur non documentées
• Inspecter les fichiers déposés dans les répertoires de configuration (configuration/branding) à la recherche de webshells ou d'archives suspectes
• Activer l'authentification multifacteur sur tous les comptes techniciens et administrateurs
• Surveiller les déploiements d'outils légitimes détournés tels que rclone, restic, AnyDesk, ou TeamViewer non autorisés

Détection et réponse à incident

Plusieurs indicateurs de compromission permettent de qualifier rapidement un serveur SimpleHelp suspect. Les journaux d'audit doivent être inspectés pour repérer des montées en privilèges depuis un compte technicien non autorisé, des connexions techniciens depuis des géolocalisations atypiques ou des créations de session de support sortantes vers des hôtes non documentés. La présence de scripts PowerShell encodés en base64 dans l'historique des sessions, ou d'appels à certutil, bitsadmin et rundll32 depuis l'agent SimpleHelp, signale une exploitation réussie.

Côté réseau, les flux sortants vers des infrastructures C2 connues de DragonForce et Medusa, ou des transferts massifs vers des buckets S3 publics via rclone, doivent déclencher une alerte. Les équipes SOC peuvent enrichir leur supervision avec les règles Sigma maintenues par la communauté Horizon3 et les indicateurs de compromission publiés par Arctic Wolf. Sur les postes clients où l'agent SimpleHelp est installé, une analyse EDR rétrospective sur la fenêtre janvier 2025 - avril 2026 est recommandée pour détecter une exploitation tardive non encore identifiée.

Pour comprendre l'ampleur des compromissions de la supply chain RMM, consultez notre dossier les trois failles Cisco SD-WAN Manager au KEV CISA, autre exemple de plateforme de gestion centralisée exploitée. Pour le mode opératoire ransomware Medusa, voir CVE-2026-21571 injection commande Atlassian Bamboo où les chaînes d'outils DevOps sont également ciblées. La problématique d'accès initial via outil légitime fait écho à l'accès SSH non autorisé Ubiquiti UniFi Play. Enfin, l'importance de la chaîne d'escalade est illustrée par l'élévation de privilèges Windows ajoutée au KEV.